일일 보안이슈 구글, 모든 안드로이드 기기에 행위기반 악성코드 스캐너 추가 Google Play Protect 는 구글에서 안드로이드 OS 에 새로 추가한 행위기반 악성코드 탐지 기능. Play Store 앱의 일부로 동작하는 이 기능은 앱 사용분석 및 머신러닝 기능이 포함된다. 이 기능을 이용하기 위해 별도의 설치나 활성화가 필요없다. 기사원문 WannaCry 복호화툴 추가 출시 프랑스 보안회사 Quarkslab 의 Adrien…
일일 보안이슈 WordPress revslider 플러그인 웹쉘업로드 취약점 revslider(Slider Revolution)는 프리미엄 테마에서 가장 많이 포함되어 같이 팔리는 슬라이더 제작 플러그인. 이 플러그인에 존재하는 웹쉘 업로드 취약점. POC, 압축파일 비밀번호 fir3.hawk5 시연영상 Zomato 침해사고발생, 1700만 사용자 이메일/패스워드 판매중 Zomato 는 인도의 가장 큰 온라인 레스토랑 가이드 서비스업체. 침해사고 발생 이후 해당 사이트의 사용자정보 1700만건이 사용자 이메일주소와 해쉬화된…
일일 보안이슈 WannaCry, Lazarus 와의 또 다른 연결고리 시만텍은 구글의 연구원 Neel Mehta 가 WannaCry 랜섬웨어와 Lazarus 공격그룹과의 연관성을 바이너리 유사도를 근거로 발표한 이후, 또다른 연관성이 있음을 블로그를 통해 발표했다. 이번에 새로 밝혀진 사실은, Lazarus가 독점적으로 사용하던 공격도구가 초기버전의 WannaCry에도 사용된 적 있단 점이다. 이 WannaCry 초기버전에는 SMB를 통한 전파기능이 없었다. Lazarus 에서 사용된 이…
일일 보안이슈 윈7 32bit 커널스택 유저모드 노출 취약점 win32k!NtUserCreateWindowEx 함수를 이용한 커널영역의 비초기화 스택메모리를 유저모드에서 확인할 수 있는 취약점. POC1 POC2 ShadowBrokers 추가 0-day 제한된 공개예정 이번엔 모두에게 공개치 않고, 비용 지불시(Wine of Month Club 가입시) 매달 새로운 툴 공개받는 조건. 좋으면서 나쁜소식. 좋은 이유는 전체 공개 전 패치를 완료할 수 있기 때문이고, 나쁜 이유는…
일일 보안이슈 Lazarus, WannaCry 의 배후일수도 구글연구원 Neel Mehta는 트위터를 통해 두 악성코드 샘플해쉬를 공개했다. 각 샘플은 2017년 2월의 WannaCry 랜섬웨어와 Lazarus 공격그룹이 2015년 2월 사용한 샘플이다. 북한에서 활동하는 공격그룹을 잘 알려진 Lazarus 가 사용했던 인코딩 알고리즘과 WannaCry에서 쓰인 인코딩 알고리즘이 동일하다고 말했다. 물론 동일알고리즘을 사용한다고 해서 동일 제작자라 볼 순 없다. 코드의 단순 복/붙일…
일일 보안이슈 WAF/NGWAF에서 libinjection 우회하는 법 많은 수의 WAF/NGWAF는 정규표현식 대신 libinjection을 사용, 이에 따른 우회 취약점. 분석자료, libinjection Doublepulsar 유저모드 분석 DoublePulsar 는 SMB 취약점을 통해 커널단에 백도어를 설치하고, 유저영역에 악성 DLL을 로드시키는 해킹도구. 여기서 유저영역 악성 DLL에 대한 분석자료 북한을 대상으로 한 파일리스 공격 북한을 공격목표로 하는 새로운 위협 Baijiu 가 보고됐다. 파일리스로…
일일 보안이슈 Microsoft IIS WebDav ScStoragePathFromUrl Overflow POC OnePlus 제품 전체, 원격공격에 노출 중국 휴대폰 제조업체인 OnePlus 의 OxygenOS 4.1.3 에서 동작하는 One, X, 2, 3, 3T 을 포함한 OnePlus 모든 핸드셋 제품이 원격 공격에 노출돼있다. 밝혀진 취약점은 MitM, 과 MitM을 활용한 OS 변경(?). OxygenOS 나 HydrogenOS 가 설치된 OnePlus 기기의 OS를 전혀 다른 악성…
일일 보안이슈 MS, Windows Malware Scanner RCE 취약점 긴급패치 WIn 7, 8.1, RT, 10, Server 2016 용으로 제작된 자사 AV제품에서 발생한 RCE 취약점을 긴급패치했다. 취약한 소프트웨어는 Microsoft Malware Protection Engine(MMPE) v1.1.13704.0 이하. 윈도우즈 디펜더와 기타 다른 보안제품에 사용되는 엔진이다. CVE-2017-0290는 지난 주말 구글 프로젝트 제로팀이 발견한 취약점. 팀은 이 취약점을 ‘Crazy Bad‘라 표현하기도 했다. RCE는…
일일 보안이슈 Intel AMT 취약점 CVE-2017-5689 Intel AMT(Active Management Technology?)의 인텔 홈페이지 설명. 쉬운 한글설명은 인텔 네이버 공식블로그 참고. AMT 서비스를 제공하는 16992/16993 포트가 열려있으면 가능한 RCE 취약점 개론과 상세분석보고서 악성코드 Emote 변종 분석보고서 fortinet 블로그 Fatboy 랜섬웨어 감염자 위치따라 빅맥지수이용해 몸값설정, 소득이 높은 지역에선 더 많은 몸값을 요구 기사원문 WordPress Core 4.7.4 이하버전 CVE-2017-8295…
COOP 을 이용한 CFI 우회방법 Endgme 의 보안연구원은 Counterfeit Object-Oriented Programming(COOP, 위조된 객체지향 프로그래밍(?))기법을 통해 Control Flow Integrity(CFI) 기능을 우회할 수 있는 방법을 소개했다. Win8.1 부터 CFG(Control Flow Guard)란 이름으로 추가된 위협경감(mitigation) 기법은 Win10 에 이르러 메모리 취약점에 기반한 익스플로잇을 더 어렵게 만들었다. 기사원문과 관련 논문, 그리고 Endgame 의 발표자료자세한 내용은 추후 자체 블로그에서 상세하게…